نقض LastPass: بدتر از آن چیزی است که در ابتدا تصور می شد


کف دست: LastPass، یکی از محبوب‌ترین سرویس‌های مدیریت رمز عبور، در ماه اوت گذشته نقض شد. این شرکت اکنون می گوید که آسیب وارد شده توسط هکرهای ناشناس بسیار بدتر از آن چیزی است که در ابتدا ارزیابی شده بود. کاربران باید رمز عبور خود را در اسرع وقت تغییر دهند.

LastPass در گزارش اصلی در مورد رخداد نقض داده‌ها که در ماه آگوست کشف شد، گفت که “فقط” کد منبع و اطلاعات اختصاصی شرکت به خطر افتاده است. اطلاعات و گذرواژه‌های کاربران امن و بی‌خطر باقی ماندند. اکنون، یک اخطار امنیتی بعدی در مورد همان حادثه خلاف این را می گوید: عوامل مخرب نیز می توانستند به داده های برخی از کاربران دسترسی داشته باشند.

LastPass می گوید هکرهای کلاه سیاه کلید دسترسی به فضای ذخیره سازی ابری و کلیدهای رمزگشایی کانتینر ذخیره سازی دوگانه را به دست آورده اند. با کلیدهای دزدیده شده، آنها توانستند امنیت پلتفرم را با کپی کردن یک نسخه پشتیبان حاوی «اطلاعات اساسی حساب مشتری و ابرداده های مرتبط از جمله نام شرکت، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرس IP» به خطر بیاندازند. که مشتریان از آن به سرویس LastPass دسترسی داشتند.”

مجرمان سایبری همچنین توانستند یک نسخه پشتیبان از داده های انبار مشتری را از ظرف ذخیره سازی رمزگذاری شده کپی کنند، که در قالب باینری اختصاصی ذخیره می شود. این کانتینر هم داده‌های رمزگذاری‌نشده مانند نشانی‌های وب سایت و هم فیلدهای حساس کاملاً رمزگذاری‌شده مانند نام‌های کاربری و گذرواژه‌های وب‌سایت، یادداشت‌های ایمن و داده‌های پرشده با فرم را شامل می‌شود.

با این حال، LastPass گفت، فیلدهای رمزگذاری شده حتی زمانی که در دست مجرمان سایبری هستند، «ایمن می‌مانند»، زیرا آنها با یک الگوریتم رمزگذاری مبتنی بر AES 256 بیتی تولید شده‌اند و «فقط می‌توانند با یک کلید رمزنگاری منحصر به فرد مشتق شده از هر کاربر رمزگشایی شوند. رمز عبور اصلی با استفاده از معماری Zero Knowledge ما.” Zero Knowledge به این معنی است که LastPass رمز عبور اصلی مورد نیاز برای رمزگشایی داده ها را نمی داند، در حالی که رمزگشایی خود فقط در سرویس گیرنده LastPass محلی انجام می شود و هرگز آنلاین نیست.

در مورد داده های کارت اعتباری، LastPass تا حدی آنها را در یک محیط ابری متفاوت ذخیره می کند. و هیچ نشانه ای مبنی بر دسترسی به چنین داده هایی وجود ندارد – حداقل تا کنون. با در نظر گرفتن همه موارد، LastPass در تلاش است این پیام را ارسال کند که، علیرغم نقض گسترده پلت فرم این شرکت، داده های رمزگذاری شده کاربران همچنان باید از هرگونه قصد شیطانی در امان باشند.

با این حال، این مانند این نیست که بگوییم هیچ خطر یا خطری ناشی از نقض نیست. LastPass می‌گوید، یک عامل مخرب بسیار مصمم می‌تواند به زور گذرواژه‌های رمزگذاری‌شده را تحت فشار قرار دهد، حتی اگر این تلاش «بسیار دشوار» باشد، زیرا این شرکت به‌طور معمول «آخرین فناوری‌های شکستن رمز عبور را در برابر الگوریتم‌های ما آزمایش می‌کند تا همگام با ما و بهبود آنها باشد. کنترل های رمزنگاری.”

ممکن است خطرات بیشتری در مورد حملات فیشینگ یا حملات بی‌رحمانه علیه حساب‌های آنلاین مرتبط با خزانه‌های LastPass کاربران وجود داشته باشد. در این مورد، LastPass خاطرنشان کرد که آنها هرگز با یک کاربر تماس، ایمیل یا پیامک ارسال نمی کنند و از آنها می خواهند که برای تأیید اطلاعات شخصی خود، روی پیوندی کلیک کنند. آنها هرگز نمی خواهند رمز عبور اصلی صندوق را بدانند. به عنوان یک اقدام امنیتی شدید، به کاربران مدیریت رمز عبور آنلاین توصیه می‌شود رمز عبور اصلی خود و همه رمزهای عبور ذخیره شده در صندوق را به هر حال تغییر دهند.



منبع